- •Учебные вопросы:
- •Содержание проекта:
- •2. Аудит информационной системы банка
- •1. Подходы к контролю и аудиту программного обеспечения.
- •4. Контроль операционной системы
- •5. Физическая защита и контроль доступа
- •6. Контроль ввода
- •7. Контроль обработки информации
- •8. Контроль вывода
- •9. Программа аудита информационных систем
- •3. Аудит информационной безопасности банка
- •Показатели информационной безопасности Групповой показатель м1 "Обеспечение информационной безопасности при назначении и распределении ролей
- •Групповой показатель м2 "Обеспечение информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла"
- •Групповой показатель м3 "Обеспечение информационной безопасности при управлении доступом и регистрации"
- •Групповой показатель м4 "Обеспечение информационной безопасности средствами антивирусной защиты"
- •Групповой показатель м5 "Обеспечение информационной безопасности при использовании ресурсов сети Интернет"
- •Групповой показатель м6 "Обеспечение информационной безопасности при использовании средств криптографической защиты информации"
- •Групповой показатель м7 "Обеспечение информационной безопасности банковских платежных технологических процессов"
- •Групповой показатель м8 "Обеспечение информационной безопасности банковских информационных технологических процессов"
- •Групповой показатель м9 "Организация и функционирование службы иб организации бс рф"
- •Групповой показатель м10 "Определение/коррекция области действия соиб"
- •Групповой показатель м11 "Выбор/коррекция подхода к оценке рисков нарушения иб и проведению оценки рисков нарушения иб"
Показатели информационной безопасности Групповой показатель м1 "Обеспечение информационной безопасности при назначении и распределении ролей
и обеспечении доверия к персоналу"
|
Обозначение частного показателя ИБ |
Частный показатель ИБ |
Обязательность выполнения |
Оценка частного показателя ИБ |
Коэффициент значимости частного показателя ИБ |
Вычисленное значение показателя ИБ | ||||||||
|
0 |
0,25 |
0,5 |
0,75 |
1 |
н/о |
|
| ||||||
|
М1.1 |
Определены ли в документах организации роли ее работников? |
обязательный |
|
|
|
|
|
|
0,0581 |
| |||
|
М1.2 |
Формируются ли роли, связанные с выполнением деятельности по обеспечению ИБ, на основании требований разделов 7 и 8 стандарта СТО БР ИББС-1.0? |
обязательный |
|
|
|
|
|
|
0,0291 |
| |||
|
М1.3 |
Персонифицированы ли роли в организации с установлением ответственности за их выполнение? |
обязательный |
|
|
|
|
|
|
0,0502 |
| |||
|
М1.4 |
Зафиксирована ли документально в должностных инструкциях ответственность за выполнение ролей? |
обязательный |
|
|
|
|
|
|
0,0461 |
| |||
|
М1.5 |
Отсутствуют ли в организации роли, совмещающие функции разработки и сопровождения системы/ПО? |
рекомендуемый |
//// //// //// //// |
///// ///// ///// ///// |
///// ///// ///// ///// |
///// ///// ///// ///// |
|
|
0,0522 |
| |||
|
М1.6 |
Отсутствуют ли в организации роли, совмещающие функции разработки и эксплуатации системы/ПО? |
рекомендуемый |
//// //// //// //// |
///// ///// ///// ///// |
///// ///// ///// ///// |
///// ///// ///// ///// |
|
|
0,0610 |
| |||
|
М1.7 |
Отсутствуют ли в организации роли, совмещающие функции сопровождения и эксплуатации? |
рекомендуемый |
//// //// //// |
///// ///// ///// |
///// ///// ///// |
///// ///// ///// |
|
|
0,0522 |
| |||
|
М1.8 |
Отсутствуют ли в организации роли, совмещающие функции администратора системы и администратора информационной безопасности? |
рекомендуемый |
//// //// //// //// //// |
///// ///// ///// ///// ///// |
///// ///// ///// ///// ///// |
///// ///// ///// ///// ///// |
|
|
0,0661 |
| |||
|
М1.9 |
Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения? |
рекомендуемый |
//// //// //// //// |
///// ///// ///// ///// |
///// ///// ///// ///// |
///// ///// ///// ///// |
|
|
0,0661 |
| |||
|
М1.10 |
Определены ли документально в организации и выполняются ли процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации? |
обязательный |
|
|
|
|
|
|
0,1001 |
| |||
|
М1.11 |
Определены ли в документах организации процедуры приема на работу, влияющую на обеспечение ИБ, включающие: - проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических навыков; - проверку в части профессиональных навыков и оценку профессиональной пригодности? |
обязательный |
|
|
|
|
|
|
0,0513 |
| |||
|
М1.12 |
Предусматривают ли указанные в частном показателе М1.11 процедуры документальную фиксацию результатов проводимых проверок? |
обязательный |
|
|
|
|
|
|
0,0371 |
| |||
|
М1.13 |
Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников? |
рекомендуемый |
//// //// //// //// //// |
///// ///// ///// ///// ///// |
///// ///// ///// ///// ///// |
///// ///// ///// ///// ///// |
|
|
0,0302 |
| |||
|
М1.14 |
Предусматривают ли указанные в частном показателе М1.13 процедуры документальную фиксацию результатов проводимых проверок? |
рекомендуемый |
//// //// //// //// |
///// ///// ///// ///// |
///// ///// ///// ///// |
///// ///// ///// ///// |
|
|
0,0302 |
| |||
|
М1.15 |
Определены ли в документах организации процедуры внеплановой проверки работников при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии? |
рекомендуемый |
//// //// //// //// //// //// //// |
///// ///// ///// ///// ///// ///// ///// |
///// ///// ///// ///// ///// ///// ///// |
///// ///// ///// ///// ///// ///// ///// |
|
|
0,0433 |
| |||
|
М1.16 |
Предусматривают ли указанные в частном показателе М1.15 процедуры документальную фиксацию результатов проводимых проверок? |
рекомендуемый |
//// //// //// //// |
///// ///// ///// ///// |
///// ///// ///// ///// |
///// ///// ///// ///// |
|
|
0,0391 |
| |||
|
М1.17 |
Обязаны ли все работники организации давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов? |
обязательный |
|
|
|
|
|
|
0,0383 |
| |||
|
М1.18 |
Регламентируются ли положениями, включенными в договоры (соглашения) с внешними организациями и клиентами, требования по ИБ? |
обязательный |
|
|
|
|
|
|
0,0449 |
| |||
|
М1.19 |
Определены ли в трудовых контрактах (соглашениях, договорах) и (или) должностных инструкциях обязанности персонала по выполнению требований ИБ? |
обязательный |
|
|
|
|
|
|
0,0582 |
| |||
|
М1.20 |
Приравнивается ли невыполнение работниками организации требований ИБ к невыполнению должностных обязанностей и приводит ли как минимум к дисциплинарной ответственности? |
обязательный |
|
|
|
|
|
|
0,0462 |
| |||
|
Итоговая оценка группового показателя М1 |
| ||||||||||||